Prozess- orientiertes Risiko

CONTROLLER-STATEMENTS
Instrumente
Prozessorientiertes
Risikomanagement
Internationaler Controller Verein eV
Geschäftsstelle
Postfach 11 68, D - 82116 Gauting
Leutstettener Str. 2, D - 82131 Gauting
Telefon +49-89-89 3134-20
Telefax +49-89-89 3134-31
www.controllerverein.com
[email protected]
Internationaler Controller Verein
Internationaler Controller Verein
Impressum
Inhalt
Herausgeber
Vorwort
4
1.
1.1.
1.2.
Hintergrund und Einordnung (Begriffe)
Entwicklung
Begriffe und Definitionen
6
6
6
2.
2.1.
2.2.
Relevante Anforderungen und Einordnung
in die Unternehmenssteuerung
Allgemeine Anforderungen
Gesetzliche und formelle Anforderungen
3.
3.1.
3.2.
3.3.
3.4.
Systembestandteile eines
Risikomanagementsystems
Grundlegende Bestandteile eines RMS
Risikomanagementprozess
Allgemeine Steuerungsinformationen
zum Prozess Risikomanagement
Risikocontrolling und Aufgaben
des Controlling
Alfred Biel
Beethovenstraße 275, D-42655 Solingen
[email protected]
4.
Empfehlungen und Einführung
42
In Verbindung mit
5.
Trends und zukünftige Entwicklungen
43
RA Conrad Günther, Gauting,
Geschäftsführer, Internationaler Controller Verein eV
Abbildungsverzeichnis
45
Internationaler Controller Verein eV
Leutstettener Straße 2
D-82116 Gauting
Tel. +49-(0)89-89 31 34-20
Fax +49-(0)89-89 31 34-31
www.controllerverein.com
Redaktion
Autoren dieses Statements:
Thilo Knuppertz, Geschäftsführer Unternehmens- und Strategieberatung
„Der Zukunftsweg“, Mitgründer und Geschäftsführer Kompetenzzentrum
für Geschäftsprozessmanagement GbR, 53343 Wachtberg
[email protected]
Frank Ahlrichs, Unternehmensberatung FA Consulting, 42857 Remscheid
[email protected]
Verantwortlicher Redakteur
Leiter des Redaktionsausschusses und Ansprechpartner
Siegfried Gänßlen,
Stellv. Vorsitzender, Internationaler Controller Verein eV
Herstellung
Satz und grafische Ausführung
Negenborn-Kommunikation, 73760 Ostfildern
[email protected]
Druck und Verarbeitung
Reichert GmbH Druck + Kommunikation, 70806 Kornwestheim
11
11
15
19
19
22
38
40
Vorwort
Die Herkunft des Wortes „Risiko“ ist nicht eindeutig geklärt. Man
vermutet, dass dieser Ausdruck ursprünglich mit der Seefahrt zu tun
hatte. Im Italienischen und Spanischen gibt es das Wort „risco“ für
Klippe. Wahrscheinlich ist aus der konkreten Klippe, die zu umschiffen war, eine Klippe im übertragenen Sinne geworden, also eine
Gefahr im modernen Geschäftsleben.
Der Begriff „Risiko“ wird jedenfalls seit dem 14. Jahrhundert in der
Handelsschifffahrt der italienischen Seestädte verwendet, und zwar
im Zusammenhang mit Versicherungen. Dabei wurde ein Risiko ausgedrückt als Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe.
Wie wir sehen, hat das Risikomanagement eine lange Tradition – und
es hat sich grundsätzlich auch nicht viel geändert. Die modernen
Klippen, um im Bilde zu bleiben, sind z.B. Finanzrisiken, Marktrisiken
oder technologische Risiken. Controller verstehen sich gerne als
Lotse oder Navigator, die als Steuermann dem Kapitän helfen, das
Schiff in den „Gewinnhafen“ zu steuern. Zu den Instrumenten, die sie
hierzu einsetzen, zählt nicht zuletzt auch das Risikomanagement.
Nach Horváth verstehen wir unter Risikomanagement „das Steuern
und Regeln der bereits bestehenden und künftig entstehenden
Risiken eines Unternehmens, sodass der Wert eines Unternehmens
durch die Verringerung der Risiken bei gleichen Ertragschancen
gesteigert wird. Risikomanagement ist somit das Gegenstück zu
Ertragsmanagement. Diese beiden Teile sind auch die wesentlichen
Bestandteile einer wertorientierten Unternehmensführung“.
Risikomanagement ist sowohl eine Philosophie des kontrollierten
Umgangs mit Verlustgefahren als auch eine bestimmte Technik und
Methodik der konkreten Umsetzung. Dies bedeutet auch, dass es
unterschiedliche Konzepte geben kann, Risikomanagement in den
Unternehmen zu praktizieren, die in Abhängigkeit von den jeweiligen
Konstellationen zum Erfolg führen können.
Die Thematik des Risikomanagements nimmt auf der Agenda des
Internationalen Controller Vereins eV (ICV) einen vorderen Platz ein.
Zahlreiche Mitglieder befassen sich mit diesem Thema. Der ICV
unterstützt in einem offenen und breiten Verständnis die Suche nach
praxistauglichen Lösungen. Somit kommt es wiederholt dazu, dass
Mitglieder unterschiedliche Lösungswege gehen und damit auch verschiedenartige Ansätze in die Diskussion einbringen.
Hermann Jenny, Vorstandsmitglied des ICV und ausgewiesener Experte des Risikomanagements in der Schweiz, hat gemeinsam mit
Carin Münzel 2005 im Schulthess Verlag, Zürich, eine Wegleitung
zur Einführung und zum Unterhalt eines Riskmanagementsystems
mit dem Titel „Riskmanagement für kleine und mittlere Unternehmen“
vorgelegt, die in der Fachwelt eine gute Aufnahme fand.
Mit dem vorliegenden Statement legen die ICV-Mitglieder und Unternehmensberater Thilo Knuppertz und Frank Ahlrichs einen Ansatz
des Risikomanagements vor, der sich aus ihrer Beratungstätigkeit im
Bereich Geschäftsprozessmanagement entwickelt hat. Dieser Beitrag
weist vielfältige Schnittmengen zum Konzept von Hermann Jenny auf,
setzt aber unter dem Aspekt der Prozessorientierung auch eigene
Akzente.
Beide Veröffentlichungen – die von Münzel/Jenny sowie von Ahlrichs/
Knupperts – ergänzen sich und sind Ausdruck der Vielfalt und Kompetenz der Facharbeit der ICV-Mitglieder sowie einer bemerkenswerten
Diskussionskultur, wie sie im Internationalen Controller Verein eV
gepflegt wird.
Natürlich sind damit nicht alle relevanten Veröffentlichungen zum
Risikomanagement innerhalb und außerhalb des Internationalen
Controller Vereins erwähnt.
Alfred Biel
Leiter des Redaktionsausschusses
1. Hintergrund und Einordnung (Begriffe)
1.1.Entwicklung
Risiken und das Managen von Risiken sind in den letzten Jahren zunehmend zum Schlagwort im Zusammenhang mit der erfolgreichen
Steuerung von Unternehmen geworden. Ausgelöst durch die unerwartete Insolvenz zahlreicher namhafter Unternehmen oder durch
betrügerische Aktivitäten von Führungskräften wurde der als implizit unterstellte Fortbestand von Unternehmen nachhaltig in Frage
gestellt. Die Insolvenzgefährdung hat insgesamt spürbar zugenommen. Damit besteht die berechtigte Frage, was zu tun ist, um die
Zukunftsfähigkeit deutlich zu verbessern. Jedes Unternehmen hat
sich dieser Herausforderung individuell zu stellen.
In vielen Unternehmen wird Risikomanagement bereits angewendet.
Oftmals stellt man jedoch fest, dass die Wirkungsweise der bestehenden Risikomanagementsysteme (RMS) nicht sehr effektiv ist. Ziel
dieses Statements ist es daher, den vorhandenen, sehr prüfungsund kontrollorientierten Ansatz zu erweitern. Dabei wird insbesondere
die Prozessorientierung und Controllingperspektive in das RMS integriert, um die Fähigkeit zur risikoorientierten Unternehmenssteuerung
zu erhöhen. Gerne möchten wir dazu einen aktiven Dialog mit Ihnen
als fachliche Leser dieses Statements führen und begrüßen konstruktive Ergänzungen dazu jederzeit (Kontaktadressen finden sich im
Impressum).
1.2.Begriffe und Definitionen
Zu einem klaren Verständnis legen wir die wesentlichen Begriffe eindeutig fest.
1
Risiko:
„Als Risiko wird im unternehmerischen Sinne die Kombination von Eintrittswahrscheinlichkeit und Größe der daraus entstehenden Konsequenzen verstanden“ 1 in Bezug auf die Abweichung von einem geplanten, meist finanziellen Ziel.
International Group of Controlling (Hrsg.): Controller Wörterbuch, 3. Aufl., Stuttgart 2005, S. 224
Damit liegen diesem Verständnis nicht nur Ereignisse mit unmittelbaren negativen finanziellen Auswirkungen zugrunde. Auch ein verpasster Gewinn kann zu einer Bedrohung von Unternehmen werden.
Insbesondere dann, wenn zum Beispiel vorhandene Fremdkapitalmittel aufgrund des Gewinnausbleibens nicht mehr verlängert werden
oder Eigenkapitalgeber nicht mehr weiter zur Erzielung weiterer Gewinne investieren wollen.
Abbildung 1: Risikobegriff und Verständnis
Die Verwendung des Zielbegriffes anstelle einer gewinn- oder
auch insolvenzorientierten Auffassung hat den Vorteil einer breiten
Anwendungsmöglichkeit (z.B. öffentlich-rechtliche Unternehmen
ohne direkten Gewinnanspruch). Die Eintrittswahrscheinlichkeit als
weiterer Definitionsbestandteil stellt auf die Dringlichkeit der möglichen Zielabweichung ab.
Alternativ zum oben vertretenden Verständnis hat der Deutsche
Standardisierungsrat als Institution zur Festlegung von verbindlichen Regelungen zur Handhabung des Jahresabschlusses ein engeres Begriffsverständnis entwickelt. Im DRS 52 (Risikoreporting) wird
Risiko als „… Möglichkeit von negativen künftigen Entwicklungen
der wirtschaftlichen Lage des Konzerns“ definiert. Die Möglichkeit
positiver Abweichungen wird als Chance definiert.
2
Deutscher Rechnungslegungsstandard, gültig seit 2001
Risikomanagement:
Risikomanagement befasst sich mit der Identifikation und Bewertung von Risiken, mit der Festlegung der einzugehenden
Risiken und ihrer Begrenzung durch Absicherungsverfahren. Ausgangspunkt für diese Handlungen ist eine Risikopolitik,
die vom Top-Management zu erarbeiten und in der Folge auf allen Führungsstufen umzusetzen ist.
Dazu gehört die Identifikation von Risiken, die Ermittlung von Art
und Höhe von negativen Auswirkungen auf die geplante Zielerreichung sowie die Durchführung und Erfolgskontrolle von Aktivitäten
zur Verringerung möglicher negativer Auswirkungen.
Risikomanagementsystem:
Zusammenfassung aller Risikoaktivitäten in einem Risikomanagementprozess und dessen ganzheitliche Integration in die Unternehmenssteuerung und das Prozessmodell.
Dies beinhaltet den Aufbau eines wirksamen Steuerungssystems.
Damit sind systematisch sowohl alle formellen Kriterien für als
auch die funktionalen Anforderungen an ein Steuerungssystem abzubilden. Formelle Kriterien bestehen zum Beispiel in der Erfüllung
gesetzlicher Rahmenbedingungen als auch der Anforderungen der
Kapitalgeber. Funktionale Anforderungen werden in einem geschlossenen Steuerungskreislauf bis hin zur permanenten systematischen
Verbesserung der Steuerung von Einzelrisiken sowie des Steuerungssystems selbst abgebildet.
Zur Feststellung wesentlicher Risiken (auch Schlüsselrisiken genannt) und deren Konzentration ist eine Gliederung zu empfehlen.
Als wesentlicher Begriff dafür hat sich in der Praxis „Risikokategorie“ und teilweise auch „Risikofelder“ etabliert. Im Verständnis
des DRS 5 fassen Risikokategorien gleichartige, organisatorisch
oder funktional zusammengehörige Risiken zusammen.
Alternative oder ähnliche begriffliche Einordnungen werden auch
im DRS 5 sowie durch ein internationales Framework, COSO II,
verwendet:3
•
DRS 5: „… ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung,
Steuerung, Dokumentation und Kommunikation von Risiken sowie die Überwachung dieser Aktivitäten.“
•
COSO II: „… ein Prozess, ausgelöst durch Vorstand und Aufsichtsrat, das Management oder andere Mitarbeiter des Unternehmens, angewandt bei der unternehmensweiten Strategiefestlegung, unter Beachtung des IKS (Internes Kontrollsystem), zum Zweck der Identifizierung und Bewältigung potenzieller Ereignisse, die das Unternehmen beeinträchtigen können, sowie
als Mittel, um die Unternehmensziele mit angemessener Sicherheit zu erreichen.“
Früherkennung:
Frühwarnsignale sind Informationen, die hinsichtlich ihrer Herkunft und Auswirkung nicht genau klassifizierbar sind. In der Regel handelt es sich um höchst unbestimmte und unsichere Vermutungen
über zukünftige Umfeldveränderungen.4
3
Coso: Committee of the Sponsoring Organizations of the Thread way Commission,
Initiative privater amerikanischer Wirtschaftsinstitute
4
International Group of Controlling (Hrsg.): Controller Wörterbuch,
3. Aufl., Stuttgart 2005, S. 118
2. Relevante Anforderungen und Einordnung in die Unternehmenssteuerung
Da Risiken immer den zukünftigen Aspekt eines potenziellen Schadens ansprechen, ist mit dem Management von Risiken immer auch
die Notwendigkeit gegeben, in Zukunftsszenarien mögliche Entwicklungen durchzudenken. Dabei gilt im Allgemeinen die Aussage: Je
früher mögliche Risiken erkannt und mit Aktivitäten begleitet werden
können, desto geringer ist in der Regel auch der zu erwartende
Schaden beim tatsächlichen Eintritt eines Risikos. Damit ist ein wesentlicher Bestandteil eines Risikomanagementsystems, Prozesse im
Unternehmen zu bestimmen, die eine systematische Früherkennung
von Risiken ermöglichen.
Insgesamt lassen sich folgende wesentliche, mit dem Risikomanagementsystem verbundene grundsätzlichen Merkmale und
Zielsetzungen formulieren:
Beim genannten Verständnis von Risikomanagement kommt es
darauf an, einen erfolgreichen Ansatz für die Integration in die Unternehmenssteuerung zu finden. Dabei sind allgemeine wie auch formelle Anforderungen zu berücksichtigen.
2.1.Allgemeine Anforderungen
Allgemeine Anforderungen bestehen in der ganzheitlichen Ausrichtung eines Risikomanagementsystems und der praktisch wirksamen
Integration in die bereits verfügbaren Steuerungssysteme.
Signifikante Bestandteile eines ganzheitlichen Konzeptes sind die
Integration in die Unternehmensziele und -strategie, der erstmalige
Aufbau eines durchgängigen Risikomanagementprozesses und die
kontinuierliche Verbesserung als Integration in bestehende Steuerungssysteme. Dem Controlling kommt hinsichtlich Methoden- und
Inhaltskonsistenz eine zentrale Aufgabe zu.
Folgende Systeme sind mindestens Gegenstand einer nachhaltigen
Integration:
Abbildung 2: Zielsetzungen RMS
•
Strategische Planung und Unternehmensplanung
Einsatz von Methoden der strategischen Planung wie Szenarioanalysen, SWOT-Analysen oder Kompetenz-Mapping zur langfristigen Ausrichtung. Ergebnis: gezielte Informationen zur Früherkennung von Risiken und Potenzialen.
•
Strategische Ziele umsetzen
Balanced Scorecard (BSC) als präferierte Methode zur zielorientierten Steuerung. Sowohl Chancenwahrnehmung als auch die Beseitigung von unternehmerischen Schwachstellen sind inhaltliche Bestandteile. Steuerungsfelder der BSC sollten mit Risikokategorien der BSC zusammengeführt werden. Ergebnis: Chancen und Risiken sind priorisiert und einheitlich fokussiert.5
5
10
Eine Übersicht zur Integration von BSC und RMS ist in Abbildung 3 dargestellt
11
12
•
Effiziente Umsetzung im operativen Geschäft
Eingesetzte Methoden sind Geschäftsprozessmanagement,
Qualitätsmanagement sowie das Interne Kontrollsystem (IKS). Alle Prozesse des Unternehmens beinhalten eine Teilaufgabe Risikomanagement. Nur in Prozessen können Risiken der strategischen Umsetzung gezielt identifiziert, bewertet und auch
gesteuert werden. Qualitätsmanagementsysteme (QM-Systeme)
stellen im Kern einen methodischen Bestandteil des Geschäftsprozessmanagements dar, da Qualität ausschließlich in Prozessleistungen beurteilt werden kann. IKS tendieren oftmals
dazu, die im RMS durchgeführten Prozesse der Risikoidentifizierung, -bewertung und -steuerung redundant durchzuführen und damit bei knappen Führungsressourcen negative Effekte zum RMS hervorzurufen. Zur Integration wird eine Konzentration des IKS auf Wirksamkeits- und Durchführungskontrollen von Risikoaktivitäten vorgeschlagen.
•
Controlling
Aufgabe der Informations- und Transparenzgestaltung. Die methodische Ausgestaltung des RMS als auch die konkrete Umsetzung im RM-Prozess sollten inhaltlich begleitet werden. In vielen Unternehmen wird das RMS dem Controlling-Bereich organisatorisch zugeordnet, da eine Aufgabenüberlappung redundante
Vorgänge wie z.B. das Erstellen von Reports bedeuten kann.
Inhaltlich ist besonders die Integration von in der Planung berück-
sichtigten Abweichungsrisiken von Zielwerten vorzunehmen. Ein Risiko ist nur dann gegeben, wenn ein zusätzlicher negativer Ergebniseffekt auf die geplanten Ziele eintreten könnte!
•
Finanzwerte sicherstellen
Formelle Ziele der Wertorientierung oder Verbesserungen von
Eigenkapital oder Cashflow sind Bezugspunkte für die Eigenkapitalgeber-Interessen. Beim Aufbau von Werttreibermodellen werden u.a. auch Risikotreiber ermittelt, die die geplante Wertentwicklung gefährden könnten. Am deutlichsten wird die Verbindung bei der Berechnung von Unternehmenswerten nach dem
Discounted Cashflow-Verfahren (DCF-Verfahren). Als wesentlicher Bestandteil wird der Risikofaktor zur Ermittlung des Gesamtkapitalzinses berechnet.
Ein hoher Risikofaktor erhöht somit die Kapitalkosten und spiegelt dadurch die vorhandene Risikosituation des Unternehmens wider. Das Eigenkapital stellt aus Risikosicht die verfügbare Bestandsmasse zur Abfederung von Risiken dar. Risiken, die wesentliche Anteile des vorhandenen Eigenkapitals betreffen (z.B. rückwirkende, ungeplante Steuernachzahlungen) können zur Bestandsgefährdung führen.
Risikoanalyse
Risikomanagementsystem
steuern
Chancen- und
Risikokennzahlen
Abbildung 3: Balanced Scorecard und Risikomanagement
Eine grundsätzliche Integrationsanforderung des RMS besteht zum
Internen Kontrollsystem (IKS). Im allgemeinen Verständnis wird das
IKS als ein System mit „Regelungen zur organisatorischen Umsetzung von Entscheidungen der Unternehmensleitung“ (Prüfungsstandard 260 des IDW, 2001) verstanden. Wesentliche Ziele schließen
die Sicherung der Wirtschaftlichkeit und Wirksamkeit der Geschäftstätigkeit, die Sicherstellung der Verlässlichkeit und Ordnungsmäßigkeit der Rechnungslegung sowie die Einhaltung der zu beachtenden
Rechtsvorschriften ein.
13
Im Einordnungsverständnis des IKS wird das RMS als Teilsystem
des Internen Kontrollsystems mit dem Schwerpunkt als System zur
Risikofrüherkennung gesehen (Sicht von Wirtschaftsprüfern). Diese
Auffassung steht nicht im Einklang mit der Notwendigkeit, den strategischen Charakter eines zukunftsorientierten RMS für den zukünftigen Unternehmenserfolg zu bewerkstelligen. Dies spricht für eine
klare Trennung beider Methoden hinsichtlich der Zielsetzung und in
großen Teilen auch bei den Prozessschritten der Umsetzung.
2.2. Gesetzliche und formelle Anforderungen
Als Framework für den Aufbau von wirksamen IKS und RMS hat
sich seit 1992 der Coso-Würfel etabliert. Gegenstand sind Risikobeurteilungen für die Geschäftsführung, die Finanzberichterstattung
und die Einhaltung von gesetzlichen Vorschriften. Als Weiterentwicklung dieses Rahmenwerkes wurde Coso II in 2003 konzipiert,
der dem RMS eine noch höhere methodische Bedeutung zukommen lässt.6
Eckpunkte des KonTraG sind:
Wesentlichen Einfluss auf die Bedeutung und auch die Notwendigkeit
eines modernen RMS hat in Deutschland das Gesetz zur Kontrolle
und Transparenz in Unternehmen (KonTraG, 1998) erlangt.
Auslöser waren zahlreiche plakative Insolvenzen in namhaften
deutschen Unternehmen, die eine Stärkung des Anlegerschutzes,
insbesondere bei börsennotierten Unternehmen, erforderlich machten.
•
•
•
•
Einrichtung eines Überwachungssystems zur frühzeitigen Erkenntnis fortbestandsgefährdender Risiken (§ 91 II AktG
sowie analog § 43 I, II GmbHG),
Risikoberichterstattung im Lagebericht (§ 289 I HGB),
Prüfpflicht der zutreffenden Darstellung der Risikosituation (§ 317 II HGB, Prüfpflicht). Die Durchführung erfolgt mit dem Prüfungsstandard PS 340.
Betroffen sind primär Aktiengesellschaften. Für Unternehmen mit anderen Rechtsformen wird eine Ausstrahlungswirkung mit
den Kriterien „Vergleichbare Größe, Strukturen oder Komplexität“ unterstellt. Dies bedeutet eine breite Anwendung der KonTraG-
Anforderungen.
Ergebnis ist damit für Aufbau und Durchführung von RMS ein
klarer formaler Rahmen als Grundlage für Methodik und inhaltliche
Ausgestaltung.
Abbildung 4: COSO II - Enterprise Risk Management Framework
Der Schwerpunkt auf die Einhaltung der formalen Anforderungen
im Jahresabschluss hat dazu geführt, dass viele Unternehmen der
eigentlich beabsichtigten zukunftsorientierten Risikosteuerung nur
in Ansätzen gefolgt sind. Abarbeitung von Risikochecklisten und
das erhaltene Testat der formellen Durchführung dienen oft nur als
Ruhekissen. Dieses Resultat wird in zahlreichen Umfragen bestätigt
(z.B. Ernst & Young Umfragen Status quo 2000 und 2005).
6
Dazu muss einschränkend angemerkt werden, dass die primäre Absicht darauf abzielt, Risiken
im Zusammenhang mit der Erstellung des Jahresabschlusses und der Richtigkeit aller getroffenen
finanziellen Aussagen zu begegnen. Von einer ganzheitlichen zukunftorientierten Risikosteuerung wird hier nicht ausgegangen.
14
15
Einfluss auf die Gestaltung von RMS in Unternehmen haben auch
die neuen Eigenkapitalanforderungen für Kreditinstitute bei
der Kreditvergabe (Basel II) erhalten. Wesentliche Aussagen
sind:
•
•
•
Individuelle Risikobeurteilungen von einzelnen Kredit nehmenden Unternehmen werden durch Kreditinstitute erstellt.
Die Beurteilung von Kreditrisiken erfolgt durch externe oder
interne Ratings (Ratingagenturen oder ein von der BaFin –
Bundesanstalt für Finanzdienstleistungsaufsicht – geprüftes Verfahren).
Bei Ratingerstellung ist das bestehende RMS ein wesentlicher Teil der qualitativen Faktoren und somit von hoher Bedeutung für ein Ratingergebnis.
Für Unternehmen ist die Ratingerhebung durch den Fremdkapitalgeber beim RMS somit kein Zusatzaufwand (Beispiel: Kundenstrukturrisiken). Eine hohe Effektivität und Effizienz des RMS ist
ein hoch bewerteter qualitativer Ratingfaktor. Das RMS kann dann
in letzter Konsequenz ein zentraler Faktor zur Sicherstellung der
zukünftigen Kapitalversorgung werden und im Optimalfall sogar die
tatsächlichen Kapitalkosten signifikant senken. Erste Fälle in der
Praxis bestätigen die Richtigkeit dieses Ansatzes.
Die inhaltliche Ausrichtung des Risikoreporting im Jahresabschluss
wurde 2002 durch den DRS 5 als Standard verbindlich vorgegeben.
Dies stellt einen Meilenstein zur Durchsetzung des KonTraG in
Unternehmen dar.
16
Der seit 2002 in den USA verabschiedete Sarbanes Oxley Act (SOA)
hat gleichfalls Auswirkungen auf die Ausgestaltung von RMS.
Kernaussagen sind:
• Gültigkeit
An US-Börsen gelistete Unternehmen sowie Tochtergesell schaften von Unternehmen, deren Anteile gehandelt werden.
•
Zielsetzung
Sicherstellung verlässlicher Kapitalmarktinformationen zur
Wiederherstellung des Anlegervertrauens durch funktionsfähige IKS bei der Finanzberichterstattung.
• Relevante Meldungen
Diese müssen gemäß Section 302 korrekt erfasst, verarbeitet,
gesammelt und fristgerecht veröffentlicht werden.
•
Wirksamkeit IKS
Prüfung gemäß Section 404 des IKS für die Finanzberichterstattung (z.B. Anwendung der relevanten Rechnungslegungs-
vorschriften).
Die Nichterfüllung dieser Vorschriften stellt insbesondere für die
Unternehmensführung ein hohes Risiko dar (hohes Strafmaß).
Methodische und inhaltliche Zusammenhänge zwischen RMS und
SOA bestehen insbesondere bei prozessspezifischen Kontrollen:
•
•
•
•
Formulierung von Kontrollzielen für Prozesse,
Aufnahme von Prozessrisiken,
durchgeführte Kontrollen,
Beurteilung von Risikoeintritten und Wirksamkeit getroffener Risikoaktivitäten.
17
3. S
ystembestandteile eines
Risikomanagementsystems
Neueren Ursprungs ist das Bilanzrechtsreformgesetz (BilReG)
von 2005. Kerninhalte betreffen:
•
•
•
•
Gültigkeit für alle Kapitalgesellschaften im Rahmen der Lageberichterstattung,
Beschreibung, Beurteilung und Erläuterung der voraussichtlichen Entwicklung mit wesentlichen Chancen und Risiken (§§ 289, 315),
Erläuterung von Risikomanagementzielen und -methoden sowie Konkretisierung von verwendeten Finanzinstrumenten,
Kommentierung der Prüfung durch den Wirtschaftsprüfer im Bestätigungsvermerk.
Hauptzielsetzung ist somit die Erhöhung der Informationsqualität
zur Entscheidungsorientierung und damit der Verlässlichkeit für
Anleger im Jahresabschluss. Ergebnis ist eine Verschärfung des
öffentlichen Risikoreportings. Eine zukünftige Anpassung für den
DRS 5 wird wahrscheinlich.
Ein weiteres Gesetzespaket mit Auswirkungen auf das RMS ist das
Bilanzkontrollgesetz (BilKoG, 2005). Zielsetzung ist die Erhöhung
des Drucks auf Unternehmen und Abschlussprüfer hinsichtlich der
Richtigkeit des externen Risikoreportings. Im Verdachtsfall kann
das BaFin Prüfungen der Abschlussqualität durchführen.
An die Funktionsfähigkeit und auch den beabsichtigten Nutzen von RMS
sind hohe Anforderungen zu stellen. Die beiden Handlungsfelder für
die Unternehmensleitung sind die Beschreibung der grundlegenden
Bestandteile eines RMS und die Festlegung und Durchführung eines
wirksamen RM-Prozesses.
3.1.Grundlegende Bestandteile eines RMS
Alle Steuerungssysteme eines Unternehmens benötigen klare Orientierungsaussagen und Festlegungen durch die Unternehmensleitung.
Diese sollten vor der Durchführung des RM-Prozesses7 erstellt sein.
Innerhalb des RM-Prozesses sind viele dieser Aussagen Ergebnisse
des ersten Teilprozesses. Insofern kann nach Erstformulierung eine
permanente, gezielte Überarbeitung in Abhängigkeit von Änderungen
des Geschäftsmodells oder der Unternehmensstrategie erfolgen.
Grundlagen eines RMS sind:
•
Management- und Risikokategorien
Im Rahmen des RMS wird eine ganzheitliche Sicht auf die Risikokategorien von Unternehmen gefordert. Damit kann aus Integrationssicht direkt ein Bezug zu den Managementfeldern hergestellt werden (Bsp.: Prozessperspektive der Balanced Scorecard mit Risikokategorie Prozesse). Dabei ist eine mindestens zweistufige Kategorieeinteilung anzuraten, da ansonsten die Zuordnung von Führungskräften zu handhabbaren Kategorien schwierig ist (Abb. 8).
•
Risikopolitik und -strategie
Als integraler Bestandteil der Unternehmensstrategie werden Aussagen zum generellen Ausmaß von einzugehenden Risiken,
die Zuordnung von Risikoaussagen zu angestrebten strategischen Zielen sowie die generelle Vorgehensweise zur Sicherstellung der Zielerreichung getroffen.
7
18
Vgl. Abbildung 3
19
Für die Fixierung des Ausmaßes von Risiken ist die Aufstellung
einer Relevanztabelle mit Bezug auf eine finanzielle Kernkenn ziffer hilfreich. Dabei wird in der Regel von Unternehmen eine vier- bis fünfstufige Einteilung praktiziert.
Geplanter Cashflow 2006: 1.500T€
Abbildung 5: Relevanzsystematik
•
20
•
Organisation des RMS
Festlegung der einzubeziehenden rechtlichen und unternehmerischen Einheiten sowie deren Zuordnung zum RM-Prozess. Dabei gilt es insbesondere, die bestehenden rechtlichen Rahmenbedingungen zu beachten, jedoch auch die Zusammenfassung von Einheiten mit einheitlicher Risikosituation für den RM-Prozess. Für die Implementierung durch den RM-Prozess sollten klare
organisatorische Zuordnungen des RMS erfolgen.
Gängige Varianten der Verantwortung bestehen im Aufbau einer eigenständigen Stabsabteilung (Mitarbeiter) mit Berichtspflicht zu CEO/CFO, die Zuordnung zum Controlling-Bereich oder auch zur Internen Revision.
•
Risikokultur
Mit der Risikokultur sind Faktoren wie die Risikobereitschaft, gelebtes Risikoverhalten sowie implizite Grundeinstellungen zu unternehmerischem und individuellem Risikodenken verbunden. Somit
wird das Ausmaß der Risikobereitschaft und das risikobewusste Verhalten aller Mitarbeiter bei Entscheidungs- sowie Umsetzungs-
aktivitäten beschrieben. Die Ausprägungen der Risikokultur schwanken zwischen den Extremen spekulativ bis risikoavers.
Zukunftsfähigkeit des Geschäftsmodells
Inhaltliche Aussagen des RMS werden konsolidiert, die die strategische Wahrnehmung vorhandener Potenziale betreffen. Als Methoden kommen hier in der Praxis oftmals „Kritische Erfolgsfaktoren“ oder Potenzialanalysen zum Einsatz. Aus Pers-
pektive des RMS stellen eine Nichterreichung von kritischen Erfolgsfaktoren oder die Verfehlung von Potenzialzielen oftmals
wesentliche Risiken dar.
21
3.2. Risikomanagementprozess
Der Risikomanagementprozess ist als Teil des unternehmensweiten
Prozessmodells ein Managementprozess. Dieser hat die generelle
Aufgabe, eine systematische, zielorientierte Steuerung der Wertschöpfung und Unterstützungsprozesse zu ermöglichen. Der Risikoprozess ist damit grundlegender Bestandteil von Führungsaufgaben
auf allen Ebenen. Die Durchführung kann an andere Mitarbeiter im
Unternehmen übertragen werden. Die Verantwortung für eine erfolgreiche Ausführung bleibt jedoch bei der obersten Unternehmensleitung bestehen.
Wesentliche Prozessschritte im Risikomanagementprozess sind:
Abbildung 7: Risikomanagement-Prozess – Gesamtübersicht
Die prozessorientierte Darstellung des RM-Prozesses ist in vielen
Literaturquellen gängige Praxis, eine tatsächliche prozessorientierte Beschreibung und Steuerung erfolgt hingegen eher selten.
Bei den nachfolgenden Ausführungen zum Aufbau und zur permanenten Durchführung wird die prozessorientierte Sichtweise auf
den RM-Prozess explizit herausgestellt. Wie in anderen Geschäftsprozessen auch, ist die Umsetzung des RM-Prozesses in vielen
Unternehmen nur unzureichend erfolgt.
Abbildung 6: Risikomanagement-Prozess als Managementprozess
22
Der Prozess ist oft zwar generell beschrieben, wird aber nicht konsequent gelebt (z.B. Prozessauslöser nicht definiert). Im Zweifel
tendieren Mitarbeiter im täglichen Geschäft dazu, das RMS als
überflüssigen Ballast zu betrachten, statt den klaren Nutzen in den
eigenen Prozessen wahrzunehmen. Durch den prozessorientierten
Ansatz kann die Wirksamkeitsquote von RMS deutlich gesteigert
werden. Die einzelnen Prozessschritte werden methodisch und
inhaltlich nachfolgend vorgestellt.
23
Prozessschritt „Grundlagen festlegen“:
24
•
Unternehmensumfeld aus dem Strategieprozess klären
Dieser Managementprozess ist eine wesentliche inhaltliche
Schnittstelle zum RM-Prozess mit Bezug auf strategische und marktbezogene Risiken. Die Nichtberücksichtigung dieser Risiken führen zum inhaltlichen Substanzverlust des RMS.
•
Nutzenpotenzial des Risikomanagements erarbeiten
Ansatzpunkte sind insbesondere in der höheren Informationstransparenz für konkrete strategische Entscheidungen zu
sehen. Konkret ist der Bezug zwischen Entscheidungen, strategischen Aktivitäten und Risiken ganzheitlich herstellbar. Auf
Sacharbeitsebene ist durch einen systematischen Einbezug von
Risiken im täglichen Geschäft gleichfalls eine hohe Akzeptanz
zu erreichen. Mitarbeiter haben dann eine ausgeprägte Verantwortung für neue Risiken bzw. bereits aufgenommene und bewertete Risiken.
•
Beschreibung der Risikostrategie
Die Risikostrategie sollte nach einzelnen strategischen Geschäftseinheiten (SGE) differenziert ausgestaltet werden. In neuen Geschäftsfeldern werden andere Zielsetzungen und damit
auch unterschiedliche Risikostrategien verfolgt. Auf Gesamtunternehmensebene und insbesondere in Unternehmen mit
Konzernstrukturen erfolgt oftmals ein Risikoausgleich verschiedener SGE’s. Die Risikostrategie sollte in einem klar formulierten Dokument allen wesentlichen Führungs- und Fachkräften zur Verfügung gestellt werden.
•
Festlegung des Risikoprozesses
Der Prozess des Risikomanagements ist als Regelkreis angelegt. Die grundlegenden Phasen der Risikoidentifikation, der qualitativen und quantitativen Bewertung, der Steuerung durch Risikoaktivitäten sowie der permanenten Verbesserung sind traditionelle Prozessschritte von Steuerungssystemen.
Im Kontext einer prozessorientierten Vorgehensweise sind die
semantischen Anforderungen des unternehmensweiten Prozessmodells zugrunde zu legen. Diese werden durch das Prozessmanagement beschrieben. Für den RM-Prozess müssen auch Schnittstellen zu anderen Prozessen systematisch ermittelt und mit Steuerungsinformationen versehen werden. Als Beispiel kann der Planungsprozess genannt werden, der dem RM-Prozess in der Regel inhaltliche Rahmenvorgaben an die Höhe von Risikorelevanz sowie Zielerreichungsvorgaben zuliefert.
•
Festlegung der Risikokategorien
Die Festlegung der Risikokategorien erfolgt überwiegend in Abhängigkeit der bearbeiteten Geschäftsfelder. Für viele Unternehmen sind die Hauptkategorien auf der obersten Ebene identisch, Unterschiede bestehen hier auf der dritten Ebene oder in konkre-
ten Begrifflichkeiten.
1.Ebene
2.Ebene
Zukunftssicherung
Strategie
Governance
Käufe/Verkäufe
Unternehmenskultur
Kommunikation
Umfeld
Führungsgrundsätze
Ethik
3.Ebene Zieldefinition und langristige Aufgabe
Transparenz der Annahmen
Planung und Entwicklung (Prozess)
Implementierung
Kontrolle und Kommunikation
Aufgabenverteilung Organe
Grundsätze der Unternehmensführung
Überwachung Ziele/Unternehmen
Haftung
Due Diligences
Intergrations-/Desintergrationskonzept
Intern
Public Relations
Länder/Regionen
Marktdynamik
Konzept
Führungsverhalten u. Personalmanagement
Gesellschaftliche Verantwortung
Reputation, Image
ID
1.1.1.
1.1.2.
1.1.3.
1.1.4.
1.1.5.
1.2.1.
1.2.2.
1.2.3.
1.2.4.
1.3.1.
1.3.2.
2.1.1.
2.1.2.
2.2.1.
2.2.2.
2.3.1.
2.3.2.
2.4.1.
2.4.2.
Abbildung 8: Management- und Risikokategorien (Bsp. Ausschnitt)
25
• Festlegung der Risikobereitschaft
Angefangen von einer sehr hohen Risikoneigung bis hin zur
Risikoaversion kann die Bereitschaft sehr stark schwanken.8
• Bestimmung von Begriffen
und einer einheitlichen Verständnisgrundlage.
•
Integration in Organisationsstruktur und rechtliche Unternehmenseinheiten
Die Verantwortung für das RMS und die notwendigen Rollen im
RM-Prozess müssen im Unternehmen klar zugeordnet werden. Die Gesamtverantwortung für ein funktionsfähiges RMS ver-
bleibt immer bei der Unternehmensleitung. In KMU werden die verschiedenen Rollen oftmals auch nur durch einen Controller oder einen zentralen Assistenten ausgeübt.
• Integration in andere Steuerungssysteme (insbesondere IKS).9
•
Integration mit Controlling
Dazu gehören die Abstimmung bezüglich aller zukunftsorientierten Informationen und Kennzahlen bei der Risikosteuerung sowie der Einbezug von Risikoauswirkungen auf die Finanzsituation und -planung.
• Klärung gesetzlicher oder sonstiger rechtlicher Anforderungen (z.B. Einsatz von Frameworks, COSO II im Rahmen von Sarbanes-Oxley).10
•
8
9
26
Die Identifikation beinhaltet die stetige Anstrengung, mögliche Risiken über alle Kategorien systematisch zu finden. Dafür können unterschiedliche Methoden und Instrumente zum Einsatz kommen. Beispiele für strategische Instrumente sind die SWOT-Analyse zur Identifizierung von strategischen, kunden- und marktbezogenen Risiken
sowie die Potenzialanalyse als Analyse der gegenwärtig verfügbaren
Ressourcen und deren Einsatzmöglichkeiten bei strategischen Entscheidungen (z.B. Know-how in neuen Technologien für die Entwicklung neuer Produkte und Dienstleistungen).
Durch diese Methode werden systematisch auch Potenziale ermittelt,
die bei der Erstellung einer Chancen-/Risikomatrix hinzugezogen werden können (siehe Prozessschritt „Risiken bewerten“). Als operative
Methoden können Studien erstellt werden, Workshops zur Abdeckung
aller Kernprozesse des Prozessmodells durchgeführt oder Datenanalysen bei risikoinduzierenden Informationen (z.B. Reklamationsanalysen) erstellt werden. Inhaltlich stehen dafür die Risikokategorien
und das Prozessmodell als Handlungsrahmen für eine systematische
Risikoidentifikation zur Verfügung.
Mindestinformationen zur Beschreibung eines Risikos sollten systematisch erhoben und im Anschluss im Risikoinventar zusammengefasst werden.
Einsatz von IT-Lösungen für Risikomanagement
Abbildung des ganzen Risikomanagementprozesses sowie der
Nutzungsfunktionalitäten für ein wirksames Aktivitätencontrolling
und zur dynamischen Kennzahlüberwachung. Dabei sollten alle
wesentlichen RM-Informationen in einem Cockpit konsolidiert und die Historie der Risikoentwicklung jederzeit rekonstruierbar sein.
Siehe hierzu auch Kapitel 3.1 (Grundlegende Bestandteile eines RMS)
Siehe hierzu auch Kapitel 2.1. (Allgemeine Anforderungen)
10
Prozessschritt „Risiken identifizieren“
Abbildung 9: Risikoinventar (Beispiel)
Siehe hierzu auch Kapitel 2.1. (Allgemeine Anforderungen)
27
Prozessschritt „Risiken bewerten“
Im nächsten Prozessschritt erfolgt die Ermittlung der Wichtigkeit
im Sinne einer eindeutigen Risikopriorisierung mit dem Ziel, wesentliche Risiken vorrangig steuern zu können. Für die Bewertung
werden in der Regel die folgenden Informationen notwendig:
28
•
Eintrittswahrscheinlichkeit (EW)
Diese liegt immer zwischen 0% (Risiko wird nicht eintreten) und 100% (Risiko ist eingetreten) unter Angabe eines Zeitraums (Regelfall: 12 Monate).
•
Schadenshöhe (SH)
Mögliche Schadenshöhen sind mit einem nachvollziehbaren Schadensszenario zu hinterlegen (z.B. entgangener Umsatz aus Terminrisiken mit 5% EW und SH von 800T €).
•
Schadenserwartungswert (SEW)
Die Multiplikation von EW und SH ergibt den SEW. Risiken mit
einer geringen EW können bei Eintritt aber durchaus gravierende Folgen für die Zielerreichung haben. Für die Einstufung des SEW ist eine Relevanzskala mit festen Werten zu definieren, die die Wesentlichkeit von Risiken bestimmt.
•
Wechselwirkungen mit anderen Risiken
Für die Analyse der gesamten Risikosituation eines Unternehmens ist im Mindestumfang eine qualitative Analyse für Wechselwirkungen anzuraten. Dabei können sowohl verstärkende,
neutrale oder auch kompensierende Wirkungen zwischen zwei Risiken vorkommen.
Legende: EW (Eintrittswahrscheinlichkeit), SH (Schadenshöhe), SEW (Schadenserwartungswert)
Abbildung 10: Risiken bewerten
Bei der Risikobewertung können gleichfalls auch qualitative Bewertungen, unterstützt durch Scoring-Verfahren, zum Einsatz kommen.
Als Skalen können dabei verwendet werden:
•
•
•
EW – sehr niedrig, niedrig, mittel, hoch, sehr hoch.
SH – sehr gering, gering, mittel, hoch, sehr hoch.
Relevanzermittlung – Einsatz von Scoring-Verfahren für die Ausprägungen von EW und SH.
Die Gesamtrisikosituation nach Bewertung sollte gründlich analysiert
werden hinsichtlich Risikoschwerpunkten oder -konzentration und
einzelnen Schlüsselrisiken.
29
Abbildung 11: Risikobewertung - Gesamtübersicht
Die in der Praxis oftmals angewandte Darstellung der bewerteten
Risiken in einer Risikomatrix kann bei einer ganzheitlichen Analyse
der bestehenden Potenziale i.S. von Chancen in einer zweiseitigen
Chancen-/Risikomatrix integriert werden. Dabei kann die Gesamtanalyse des Geschäftsmodells schnell Aufschlüsse bezüglich der
Ausgewogenheit von Chancen und Risiken bringen. Die kumulierten
Top-Chancen sollten dabei grundsätzlich eine höhere geplante
Wirkung erzielen als die zusammengefassten Schlüsselrisiken. Bei
einer professionellen Bearbeitung kann diese Matrix als Entscheidungsgrundlage für wesentliche strategische Entscheidungen
verwendet werden.
30
Abbildung 12: Chancen-/Risikomatrix
Die qualitative Analyse von Wechselwirkungen zwischen Risiken
zeigt als Ergebnis Risiken auf, die in der Gesamtwirkung die
größten Schadensauswirkungen haben können. Dabei können
sowohl die reine Anzahl als auch die bestehenden quantitativen
Schadenserwartungswerte von verursachenden Risiken addiert
werden.
31
Aber auch durch Vertragsgestaltung oder Aufgabenverlagerung
(z.B. an benachbarte Unternehmen der Lieferkette) kann eine Risikoübertragung erfolgen.
Legende von -1 (Inverse Auswirkung) bis 1 (volle Korrelation); 0 (Keine Auswirkung bei Eintritt Risiko 1 andere Risiken)
Abbildung 13: Risikoanalyse - Wechselwirkungen
Prozessschritt „Handlungsstrategie festlegen“
Die Unternehmensleitung hat nach Festlegung der wesentlichen
Risiken und Chancen nunmehr die Aufgabe, diese gezielt strategisch anzugehen. Dazu stehen folgende generelle Handlungsoptionen zur Verfügung:
32
•
Risiko vermeiden
Steht als Option insbesondere in Entscheidungssituationen zur
Verfügung. Durch Unterlassung (z.B. Entwicklung eines Produktes mit hohem Entwicklungsrisiko) kann das Risiko von Beginn an vermieden werden.
•
Risiko übertragen
Für bereits erkannte und bewertete Risiken kann ein Risikotransfer erfolgen. Etabliert ist dafür die Abdeckung der Risikowirkung mit Versicherungsschutz gegen Zahlung einer Risikoprämie, deren Höhe im Wesentlichen die Risikorelevanz zum Ausdruck bringt.
•
Risiko überwachen
Bei als unwesentlich bewerteten Risiken kann durch eine reduzierte Steuerung ohne direkte Aktivitäten nur die Entwicklung des Risikos regelmäßig überwacht werden.
•
Risiko akzeptieren
Stellt eine Handlungsvariante der Risikoüberwachung dar,
schließt aber grundsätzlich alle Risiken, also auch wesentliche Risiken, ein.
• Relevanz reduzieren
Durch gezielte Aktivitäten wird der SEW gezielt reduziert, ent weder beim SH-Wert oder der EW.
Prozessschritt „Aktivitäten planen“
Nach Zuordnung der Handlungsstrategien zu den Risiken beinhaltet
der nächste Prozessschritt die Planung und Organisation aller Aktivitäten zur eigentlichen Risikosteuerung. Im Kern gehören dazu die
Bestimmung der Risikoverantwortung, der detaillierten Planung
einzelner Aktivitäten im Controlling-Verständnis sowie Status-Informationen. Verantwortlich für die Planung ist der Risikoverantwortliche.
Abbildung 14: Prozessschritt - Aktivitäten planen
33
Prozessschritt „Steuerung organisieren“
Prozessschritt „Aktivitäten durchführen“
Bei der Zusammenfassung von Aktivitäten der wesentlichen Risiken
ergeben sich häufig Synergieeffekte durch Überschneidungen der
Abdeckung von Risiken oder in der geplanten Wirkung. Von Bedeutung ist weiterhin die Aufnahme der Aktivitäten in die Planung und
die Programme (z.B. Personalentwicklungsprogramme). Für alle
Aktivitäten sind durch die Risikoverantwortlichen einzelne Durchführungsverantwortliche zu bestimmen.
Für die Steuerung aller wesentlichen Risiken fallen oftmals gleichzeitig viele Aktivitäten über das ganze Unternehmen an. Die inhaltlichen Abläufe aller Aktivitäten sind aufgrund der großen Anzahl
strategischer Handlungsmöglichkeiten situativ festzulegen.
Bei Projekten ist in der Regel ein Projektplan und bei der Optimierung von Versicherungsabdeckungen ein Zeitplan der Vorgehensweise zu erstellen. Den Risikoverantwortlichen obliegt hierbei auch
die Verantwortung für die Durchführung.
In diesem Zusammenhang sollte die Verfügbarkeit geklärt werden,
da in der Regel oft dieselben Mitarbeiter für Verbesserungsaktivitäten hinzugezogen werden und dadurch Engpässe bestehen.
Controller sollten die Steuerungsorganisation im Rahmen der
Führungsbegleitung unterstützen.
Weiterer wichtiger Bestandteil ist die Auswahl von Kennzahlen zur
Risikosteuerung. Dabei sind insbesondere folgende Aspekte zu
berücksichtigen:
• Auswahl von Kennzahlen mit Frühwarneigenschaft,
die rechtzeitig den Eintritt eines Risikos signalisieren.
• Analyse von historischen Wertebereichen der Kennzahlen.
Prozessschritt „Wirksamkeit überwachen“
Wesentliches Ziel eines RMS ist die Verbesserung der Risikogesamtsituation. Damit wird im Detail der Risikosteuerung auch
eine Überwachung der Wirksamkeit der getroffenen Maßnahmen
erforderlich. Konkret kann dies an einem sinkenden Schadenserwartungswert festgemacht werden. Dies bedeutet, dass dem
SEW zugrunde gelegte Schadenszenario wird durch einzelne
Aktivitäten positiv verändert. Neben der Überwachung des rechtzeitigen Starts geplanter Aktivitäten ist somit eine fortlaufende
Fortschrittskontrolle durch die Risikoverantwortlichen durchzuführen.
• Festlegung von kritischen Kennzahlbereichen („gelbe“ und
„rote“ Ampelphasen), die den Risikoeintritt anzeigen.
• Regelmäßige Erhebung der Kennzahlen sicherstellen.
• Integration der Kennzahlen in das bestehende Reporting vornehmen.
Abbildung 15: Prozessschritt Wirksamkeit überwachen
• Unternehmenseinheiten bestimmen.
• Zentrale und dezentrale RMS-Zuständigkeiten festlegen.
34
35
Als Zusatzinformation kann auch eine Trendwirkung insbesondere
für die wesentlichen Risiken ermittelt werden, die allerdings durch
konkrete Kennzahlwerte begründbar sein sollten.
Grundlegend ist ein umfassendes Risikoreporting notwendig, damit
bei der Überwachung keine Lücken entstehen. Die oberste Unternehmensführung muss damit regelmäßig (Standard: 3 Monate)
Risikoreports erhalten und die Veränderung der Risikogesamtsituation bewerten. Das Controlling hat die Aufgabe, alle Risikoinformationen zu bündeln und dem Entscheidungsorgan zugänglich
zu machen. Die Interne Revision kann in diesem Kontext Überprüfungen der Steuerungseffizienz des RMS an sich durchführen
und Verbesserungspotenziale ermitteln. In KMU besteht oftmals
keine Interne Revision, sodass die Kontrollfunktion in der Regel
bei der Jahresabschlusserstellung rudimentär durch den externen
Prüfer begleitet wird.
Abbildung 16: Risikoreporting organisieren
36
In diesem Umfeld ist auch der Einsatz von professionellen ITSystemen zur Risikosteuerung und für die Abbildung der Risikomanagementprozesse sinnvoll. Da die Transparenz von großen
Informationsmengen und die Risikosituation im RMS auch historisch jederzeit nachvollziehbar sein müssen, ist eine Investition in
RMS-Cockpits von hohem Nutzen.
Insbesondere Status- und Frühwarninformationen der wesentlichen
Risiken sowie die Risikoverantwortlichen mit Drill-Down-Funktionalität sind der Unternehmensleitung verfügbar zu machen. Bei
kleineren Unternehmen ist als Einstieg auch der Einsatz von ExcelReports im Rahmen des bestehenden Reportings eine Alternative.
Abbildung 17: RMS-Cockpit für die Unternehmensleitung
37
Prozessschritt „Prozessverbesserung durchführen“
Der RM-Prozess ist nach erstmaliger Modellierung und Durchführung immer Gegenstand von Verbesserungsmaßnahmen.
Dabei können sowohl Zuständigkeiten, Aktivitäten oder auch
das Reporting optimiert werden. Die Verantwortlichkeit für die
Prozessoptimierung muss klar festgelegt sein.
Prozessschritt „Strategiewirksamkeit prüfen“
Für einen geschlossenen Steuerungskreislauf des RMS sind systematisch Informationen bezüglich der Wirksamkeit der gewählten
Unternehmensstrategie an den Strategieprozess bereitzustellen.
Dabei sind folgende Prozessaufgaben zu beachten:
• Wesentliche Verschlechterungen der Gesamtrisikosituation zeigen strategischen Handlungsbedarf auf.
• Neue wesentliche Risiken können Teilbereiche der Strategie
in Frage stellen.
• Schnittstelle zwischen Strategie-Prozess und RM-Prozess ist
zu definieren (welche Informationen sind wann und von wem bereitzustellen).
3.3. Allgemeine Steuerungsinformationen zum Prozess Risikomanagement
Die methodische Darstellung des RMS als Prozess erfordert für
eine effektive Steuerung auch den Rückgriff auf bestimmende
Prozesssteuerungsinformationen, die im Regelfall hierfür gefordert
sind. Diese gelten prinzipiell für alle Prozesse des Prozessmodells
und sind mit dem RM-Prozess konzeptionell in allen Prozessen
sicherzustellen.
38
•
Prozessauslöser bestimmen
Auslöser für die Durchführung des RM-Prozesses ist im Regelfall die Festlegung eines kalenderbezogenen Zeitraums. Im unternehmerischen Alltag kann der Risikomanagementprozess mit dem Planungsprozess hinsichtlich Ziel-, Aktivitäten- und Budgetplanung gekoppelt werden. Empfehlenswert ist die rollierende
Planung mit einem 12-Monatsfokus.
Weitere Auslöser können auch vorab definierte Ereignisse darstellen. Beispiele hierfür sind marktbezogene Maßnahmen von Konkurrenten, z.B. deutliche Preisveränderungen, Produktankündigungen oder spürbare Veränderungen der kundenspezifischen Leistungserwartungen (z.B. signifikant verkürzte Liefertermine).
•
Prozessinput festlegen
Dazu gehören neben der systematischen Ermittlung von risikorelevanten Informationen (s. Abb. 8/9) auch die Bestimmung von Kapazitäten und Kompetenzen zur Bearbeitung.
•
Prozessleistung messen und steuern
Die Steuerung von Prozessen beinhaltet als Minimalanforderung die Festlegung der drei wesentlichen Faktoren Zeit (Durchlauf-/
Bearbeitungszeit), Kosten und Qualität des RM-Prozesses. Für die Prozesssteuerung sind eindeutige Eskalationsregeln festzulegen, ab welchem Ereignis weitergehende Risikoaktivitäten auszulösen sind (z.B. Überschreiten eines Limits bei einer Risikokennzahl) oder wann die Unternehmensführung zu informieren ist (z.B. Neubewertung Risiko mit Relevanz Bestandsgefährdung bedeutet sofortige Information der Unternehmensleitung).
•
Prozessoutput
Beschreibt den Schadenserwartungswert am Ende des RM-
Prozesses und damit die beabsichtigte Veränderung in den festgelegten Zeitabschnitten (Kalenderjahr oder Ereignisorientierung). Hier kann insbesondere die Wirksamkeitskontrolle erfolgen, inwieweit die geplante Veränderung des SEW durch die Risikostrategie und die Aktivitäten auch erzielt wurden.
39
40
•
Prozessrollen bestimmen
Auszufüllende Rollen im RM-Prozess sind in der Regel der CRO
(Chief Risk Officer), der Risikoverantwortliche, der Risikocontroller, der Risikocoach, der Risikomitarbeiter und der Risikoauditor. Dabei kommt insbesondere dem Risikocontroller sowohl inhaltlich als auch methodisch eine wesentliche Koordinationsfunktion zu. Für alle Rollen sind Verantwortlichkeiten und Aufgaben konkret zu beschreiben.
•
Transparenzverantwortung
Dies beinhaltet die systematische Information aller beteiligten Führungs- und Fachmitarbeiter, die Verfügbarkeit einer einheitlichen und historisch nachvollziehbaren Dokumentation aller
Risikoinformationen sowie deren zukünftige Verfügbarkeit.
•
Risikoreporting einschließlich Ad-hoc-Reporting
Der Risikocontroller bewirkt eine redundanzfreie Integration von Risikoinformationen in bestehende Standardreports (z.B. Vertriebsreport), die Aktualität der Inhalte, eine Konzentration auf wesentliche Risiken und die rechtzeitige Kommunikation von maßgeblichen Veränderungen. Ein „Risikoreport“ stellt dann in
diesem Verständnis den Extrakt aus bestehenden Standardreports hin zu einer themenspezifischen Sicht dar. Diese muss für bestimmte Empfängergruppen zur Verfügung stehen (z.B. Vorstand für Quartalsreport).
•
Prozesscontrollinginformationen
Für eine effiziente Steuerung des RM-Prozesses ist ein Controlling i.S. von Planung, Durchführung, Kontrolle und anschließender Verbesserung für Prozessvariablen notwendig. Dazu gehören u.a. Prozessmengen (Anzahl der Durchführung von einzelnen Prozessschritten), die Bestimmung der notwendigen Kapazitäten sowie eine Überprüfung der Zufriedenheit mit dem erzielten Prozessoutput. Hierbei könnte z.B. die Zufriedenheit von externen Interessenten mit der Risikoberichterstattung im Lagebericht ausgewertet werden.
3.4. Risikocontrolling und Aufgaben des Controlling
•
Permanentes Risikocontrolling
Durch eine Soll-Ist-Betrachtung an den dynamischen Steuerungskriterien wesentlicher Risiken ausgerichtet (z.B. Veränderung des SEW), besteht hier die Aufgabe, steuerungsrelevante
RM-Informationen systematisch erheben zu können.
Die Durchführung der Prozessrolle Risikocontroller kann sowohl
einer separaten zentralen Stabsstelle als auch dem Controlling
zugeordnet werden. Ungeachtet der Zuständigkeit sind die nachfolgenden Aufgaben mit dieser Rolle verbunden:
•
Aufgaben und Mitwirkung des Controlling
Hier wird eine Koordination zwischen Controlling und anderen
mit Rollen im RMS verantwortlichen Unternehmensbereichen (z.B. Interne Revision) erforderlich.
•
In KMUs ist die Durchführung im Rahmen des bestehenden
Controllings anzuraten.
Integration mit Unternehmensplanung
Die in der Planung aufgenommenen Zahlenwerte drücken in der
Regel Erwartungswerte aus. Insofern sind RM-Informationen Abweichungsmitteilungen, die die Schwankungsbreite der Planung aufzeigen. Hierbei sollte eine enge Abstimmung zwischen
den Plan-Ergebnissen des Planungsprozesses sowie dem zuständigen Risikocontroller erfolgen.
41
4. Empfehlungen und Einführung
5. Trends und zukünftige Entwicklungen
Empfehlungen für das RMS sollten vorab mit der obersten Unternehmensführung als Hypothese formuliert und nach Einführung
durch die operative Abwicklung des RM-Prozesses bestätigt
werden.
Die Bedeutung eines wirksamen RMS wird zukünftig weiter
zunehmen. Diese Feststellung kann insbesondere an folgenden
Aussagen verankert werden:
Checkpunkte für eine erfolgreiche Einführung eines RMS in Unternehmen sind:
• Projektplan für Einführung erstellen.
• RM-Inhalte der erstmaligen Prozessdurchführung kommunizieren.
• Alle Mitarbeiter für Prozessrollen methodisch als auch inhaltlich trainieren.
• Mitarbeiter mit zukunftsbezogenem Arbeitsumfeld informieren
und sensibilisieren hinsichtlich der Risikosituation und der
wesentlichen Risiken.
• Verantwortlichkeiten für Risiken und Risikoaktivitäten durch gängig bestimmen.
• Erkannte erste Verbesserungspotenziale zügig umsetzen.
• Umsetzung von Risikoaktivitäten eng monitoren.
• Wirkungskontrolle der Risikoaktivitäten regelmäßig durchführen.
• Risikoreporting im Alltag einfordern.
• RMS mit der Unternehmensplanung sinnvoll verbinden.
• RMS ist hinsichtlich der Steuerungsanforderungen mit anderen Systemen im Unternehmen integriert und vermeidet dadurch redundante Tätigkeiten für die Fach- und Führungsmitarbeiter.
• Weitestgehende Automatisierung des Risikoreport mit IT Unterstützung oder mindestens Risikoreporting bei kleineren Unternehmen auf Excel-Basis.
• Bei großen Unternehmen mit Pilotbereich beginnen – nach
erfolgreicher Etablierung sukzessive weitere Einführung in
den anderen Bereichen.
42
•
Anforderungen der Stakeholder steigen
Kapitalgeber möchten zeitnah über die voraussichtliche Unternehmensentwicklung informiert werden. Grund hierfür ist die
Zunahme des wirtschaftlichen Ergebnisdrucks. Fremdkapitalgeber wollen eigene Kreditausfallrisiken im Ganzen als auch auf den Einzelfall bezogen reduzieren. Dazu gehört insbesondere die Umsetzung der Anforderungen aus Basel II, die risikoarme Kunden mit einem positiven Rating und damit niedrigeren Eigen-
kapitalanforderungen an das Kreditinstitut belohnt.
Eigenkapitalgeber möchten eine stetige Verzinsung des eingesetzten Kapitals und entsprechend aussagekräftige Informationen zur Risikosituation bezüglich der Kapitaldisposition.
Das RMS wird somit zum strategischen Steuerungssystem, mit dem relevante Informationen systematisch ermittelt werden
und unternehmerisch im Zentrum des Entscheidungsverhaltens stehen. Im Rahmen von Investor Relations kommt dem
RMS hinsichtlich der gezielten Kommunikation mit den Kapital märkten gleichfalls eine steigende Bedeutung zu.
•
Zunehmende Marktveränderungen
Hier kann eine Vielzahl von Trends genannt werden, die die Risikogesamtsituation von Unternehmen zukünftig beeinflussen werden. Dazu gehören insbesondere auch die Veränderung der
Kundenanforderungen an das Unternehmen und die abnehmende Kundenloyalität. Für Unternehmenskunden nimmt die Beschaffung über Einkaufsplattformen mit dem einhergehenden
Risiko deutlich zu, sodass auf die Entscheidungssituation von
Einkäufen nur noch wenig Einfluss genommen werden kann.
•
Branchenveränderungen
Bedingt durch Konzentrationsprozesse und den globalen Wettbewerb können ganze Branchensegmente zukünftig nur mit
einer klaren strategischen Positionierung und einer heraus43
gearbeiteten Risikogesamtsituation überblickt und beherrscht
werden. Die Fokussierung auf Kernkompetenzen im Sinne nur eines Geschäftsfeldes ist bei zyklischen Schwankungen sehr ausgeprägt und damit häufig nachhaltig bezüglich eines Risiko ausgleiches zu hinterfragen.
•
Abnehmende Produkt-/Leistungszyklen
Durch kürzere Produktzyklen – von der Entwicklung bis zur Einstellung der Vermarktung und Produktbetreuung – steigt das unternehmerische Risiko an. Die Zeitspanne zur Refinanzierung von getätigten Investitionen schrumpft und führt damit zu einer
Risikozunahme. In vielen Unternehmen besteht daher die Notwendigkeit, Prozesszeiten der Produktentwicklung deutlich zu
verkürzen. Dies geht einher mit Qualitätsrisiken bei der Markteinführung (z.B. Beta-Versionseffekte oder kostspielige und Image schädigende Produktrückrufaktionen). Das RMS sollte die dabei bestehenden Risiken transparent machen und negative Folgen durch gezielte Risikoaktivitäten einschränken bzw. vermeiden helfen.
•
Steigende formelle Anforderungen
Die Auflagen an eine ordnungsmäßige Unternehmensführung und damit auch der Existenz eines professionellen RMS nehmen zu. Es ist zu erwarten, dass durch weitere Schadensfälle der externe Druck auf Unternehmen in Form von gesetzlichen Auflagen oder auch „freiwilliger“ Verpflichtung (z.B. Corporate Governance) zunehmen wird.
Der Aufbau und die permanente Weiterentwicklung eines wirksamen RMS werden damit zur Kernaufgabe von Unternehmen und
den verantwortlichen Führungskräften. Der Anfang ist in vielen
Unternehmen bereits gemacht. Auf dem Weg hin zu einer vollständigen Integration in die gesamte Steuerung, dem Einbezug
in alle strategischen Entscheidungen und deren nachfolgender
Umsetzung, dem Aufbau einer unternehmensweiten Risikokultur
und letztendlich einer tatsächlichen prozessorientierten Handhabung sind die Herausforderungen in Zukunft festzumachen.
44
Abbildungsverzeichnis
Abbildung 1 – Risikobegriff und Verständnis
Abbildung 2 – Zielsetzungen RMS
7
10
Abbildung 3 – Balanced Scorecard und Risikomanagement 13
Abbildung 4 – COSO II – Enterprise Risk Management
Framework
14
Abbildung 5 – Relevanzsystematik
20
Abbildung 6 – Risikomanagement-Prozess als
Managementprozess
22
Abbildung 7 – Risikomanagement-Prozess-Gesamtübersicht 23
Abbildung 8 – Management- und Risikokategorien
(Bsp. Ausschnitt)
25
Abbildung 9 – Risikoinventar (Beispiel)
27
Abbildung 10– Risiken bewerten
29
Abbildung 11– Risikobewertung – Gesamtübersicht
30
Abbildung 12– Chancen-/Risikomatrix
31
Abbildung 13– Risikoanalyse – Wechselwirkungen
32
Abbildung 14– Prozessschritt – Aktivitäten planen
33
Abbildung 15– Prozessschritt – Wirksamkeit überwachen
35
Abbildung 16– Risikoreporting organisieren
36
Abbildung 17– RMS-Cockpit für die Unternehmensleitung
37
45
ICV-Statements – Medienrechtliches
Urheberschutz
Alle Inhalte sind urheberrechtlich geschützt. Eine über die engen
Grenzen des Urheberrechts, insbesondere des Zitierrechts,
hinausgehende Nutzung und Verwertung ist nur mit schriftlicher
Genehmigung des Internationalen Controller Verein eV zulässig.
Haftungshinweis
Die Autoren haben höchste Sorgfalt bei der Erstellung des Manuskriptes angewandt. Dennoch übernehmen sie keinerlei Verantwortung oder Haftung für Richtigkeit und Vollständigkeit, eventuelle
Fehler oder Versäumnisse. Die Inhalte und Materialien werden unter
Ausschluss jeglicher Gewährleistung zur Verfügung gestellt.
Die Anwendung bzw. Nutzung der in den Statements dargestellten
Erkenntnisse bzw. der Empfehlungen der Autoren erfolgt auf
Gefahr des Lesers.
Sämtliche verwendete Handelsmarken oder Markenzeichen sind
Eigentum der jeweiligen Rechtsinhaber.
Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine
Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten
Seiten sind ausschließlich deren Betreiber verantwortlich.
Das vorliegende Statement vermittelt einen theoretisch fundierten,
aus der Beratungspraxis entwickelten Überblick zum modernen
Risikomanagement. Dabei wählen Thilo Knuppertz und Frank Ahlrichs
einen prozessorientierten Ansatz. Risikomanagement, wie es die
Autoren darstellen, bedeutet der bewusste Umgang mit Risiken
angesichts der zunehmenden Zahl von Risiken aufgrund des dynamischen und komplexen Wirtschaftsgeschehens.
Dieses Statement beginnt mit einem kurzen Vorwort und klärt zunächst die Begrifflichkeiten und grundlegenden Zusammenhänge.
Danach diskutieren die Autoren die allgemeinen Anforderungen,
die sie in der ganzheitlichen Ausrichtung eines Risikomanagementsystems und in der praktisch wirksamen Integration in die bereits
verfügbaren Steuerungssysteme sehen. Die Erfüllung gesetzlicher
und formeller Anforderungen ist ein weiteres Kapitel dieses Statements.
Die Darlegung der Systembestandteile eines Risikomanagementsystems nimmt in dieser Veröffentlichung breiten Raum ein.
Die beiden Handlungsfelder für die Unternehmensleitung sind, wie
sie das Autorenteam darlegt, die Beschreibung der grundlegenden
Bestandteile eines Risikomanagementsystems sowie die Festlegung
und Durchführung eines wirksamen Risikomanagement-Prozesses.
Die detaillierte und anschauliche Darstellung des RisikomanagementProzesses ist besonders hervorzuheben.
Die anschließenden Empfehlungen und Einführungshilfen runden das
Werk ab und erhöhen den konkreten Praxisnutzen. Die folgende
Diskussion der Trends und Entwicklungstendenzen unterstreicht die
wachsende Bedeutung des Risikomanagements und sichert den
Leserinnen und Lesern einen hohen Informations- und Orientierungswert.
46
47